「配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性がある」ということです。最近、この手の攻撃・トラブルを何回か見たような気がします。管理会社にはしっかり管理してもらいたい。「SecurityTool」に感染というのは、前に このブログで取り上げ ています。
マイクロアド広告サーバーが改ざん、Impress Watchほか複数メディアで影響 -INTERNET Watch
株式会社マイクロアドは25日、同社の広告配信サーバー「VASCO」の一部バージョンが外部からの攻撃を受けて改ざんされ、配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性があると発表した。
マイクロアドによると、該当する広告配信サーバーは100社以上が導入しているが、影響を受けた企業やユーザー数については現在調査中であるという。また、導入企業については非公開としているが、27日午後1時現在、毎日.jp、Impress Watch、GIGAZINE、Slashdotなどのウェブメディアが改ざんの影響を受けたと発表している。
広告配信サーバーが改ざんされていたのは9月24日21時半ごろから9月25日1時過ぎごろまで。この間、広告が含まれるページを閲覧したユーザーは、悪意のあるサイトに誘導され、偽セキュリティソフト「SecurityTool」に感染した恐れがあるという。
SecurityToolはインストールされると、正規のセキュリティソフトのような画面を表示し、大量のウイルスが検出されたように見せかける。駆除しようとするユーザーに対しては有料会員への登録を促し、クレジットカード情報などを入力させようとする。
マイクロアドは該当するユーザーに対して、ウイルス対策ソフトを最新の状態にしてスキャンを実施するか、セキュリティ各社のホームページにあるオンラインスキャンを利用するよう呼びかけている。
例えば、トレンドマイクロではSecurityToolを「TROJ_FAKEAV.STL」として検出しており、対応方法を以下のように説明している。なお、対応方法にはレジストリの編集が含まれているため、レジストリの編集前には必ずバックアップを作成することを推奨している。